Собственно, а для чего это нужно, спросите вы? Мне это понадобилось для предоставления полных прав для одного устройства локальному администратору. На всех устройствах в сети авторизация происходит по TACACS, соответственно и ограничиваются права на выполнение тех или иных команд. Конфигурацию TACACS менять не хотелось и все надо было сделать быстро. Вот пример первоначального конфига:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
…
!
line vty 0 15
access-class 1 in
exec-timeout 60 0
Что требуется? Требуется предоставить полный доступ к одному устройству Cisco с определенного IP адреса для определенного пользователя, причем для остальных ничего не должно измениться.
Добавляем новую aaa группу:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login GROUP1 local
aaa authorization exec default group tacacs+ local
aaa authorization exec GROUP1 local
aaa authorization commands 15 default group tacacs+ local
aaa authorization commands 15 GROUP1 local
aaa accounting exec default start-stop group tacacs+
Добавляем нового пользователя:
username CustomUser password 7 050A0A03281F32
Создаем новый access-list, в котором разрешаем доступ с определенного IP адреса:
access-list 2 permit 111.111.111.111
И применяем все наши настройки например к vty 5
line vty 5
access-class 2 in
authorization commands 15 GROUP1
authorization exec GROUP1
login authentication GROUP1
rotary 5
Теперь человек, для которого собственно все и делалось может попасть на необходимый vty, используя следующую команду:
telnet 11.11.11.11 3005
Вход будет выполнен на vty 5.
Автор: zaikini
Похожие статьи:
- Не найдено
(голосов: 1, среднее: 5,00 из 5)
Загрузка...
Отправить на почту
Добавить комментарий
Вам следует авторизоваться для размещения комментария.